정부가 최근 KT와 롯데카드 등에서 잇따라 발생한 대규모 해킹 사고에 대해 “엄중한 상황”이라고 인식하고, 임시방편이 아닌 근본적인 보안 대책 마련에 나선다고 밝혔다.
과학기술정보통신부와 금융위원회는 19일 합동 브리핑을 통해 통신사와 금융사 사이버 침해사고 대응 방안을 발표했다. 정부는 국가안보실을 중심으로 관계부처가 합동으로 해킹 피해 최소화에 나서고 있다고 설명했다.
KT 소액결제 해킹, 피해자 전수조사 실시
류제명 과기정통부 제2차관은 KT 무단 소액결제 침해사고와 관련해 “민관합동조사단이 경찰과 공조해 사고 원인을 신속하고 철저히 분석하고 있다”고 말했다.
조사단은 해커들이 불법 초소형 기지국을 통해 어떻게 KT 내부망에 접속했는지, 피해자의 통신을 어떻게 탈취했는지, 소액결제에 필요한 개인정보는 어떤 경로로 확보했는지를 중심으로 수사하고 있다.
특히 숨겨진 피해자를 놓치지 않기 위해 소액결제를 이용한 고객 전체 220만 명의 통화 기록 2267만 건을 전수 분석했다. 그 결과 현재까지 민원이 제기된 피해자의 통화 기록을 바탕으로 확인한 불법 기지국 아이디 4개 외에는 추가 아이디가 발견되지 않았다고 발표했다. KT는 추가로 확인된 피해자에 대해서도 피해 금액을 청구하지 않고 무상 유심 교체를 지원하고 있다.
롯데카드 유출 규모, 당초 신고보다 100배 이상 커져
권대영 금융위 부위원장은 롯데카드 정보유출 사고와 관련해 “조사 과정에서 당초 신고한 1.7GB보다 훨씬 큰 200GB의 정보가 유출된 것을 확인했다”고 밝혔다.
미상의 해커가 롯데카드의 온라인 결제 서버에 침입해 대규모 정보를 빼간 것으로 조사됐다. 다행히 현재까지는 부정사용 피해는 나타나지 않고 있다고 설명했다.
롯데카드는 사고 인지 초기부터 부정사용 시 선보상, 추가 보안인증, 카드 재발급 등 소비자 보호 조치를 실시했다.
징벌적 과징금 도입·늑장신고 강력 처벌
정부는 이번 사태를 계기로 보안 관리 체계를 전면 개편한다는 방침이다. 과기정통부는 “국내 최고 보안 전문가들과 함께 현행 보안 체계 전반을 원점에서 재검토해 근본적인 대책을 마련하겠다”고 강조했다.
특히 기업들이 고의로 침해사고 사실을 늦춰 신고하거나 미신고할 경우 과태료 등 처분을 대폭 강화하기로 했다. 또 해킹 정황을 확보한 경우에는 기업의 신고 없이도 정부가 직접 조사할 수 있도록 제도를 개선한다.
금융위는 보안사고 발생 시 사회적 파장에 상응하는 엄정한 책임을 묻기 위해 징벌적 과징금 도입 방안을 신속히 추진한다고 발표했다.
“보안투자를 부차적 업무로 여기는 안이함 반성해야“
권 부위원장은 “최근 잇달아 발생하는 금융권 해킹 사고를 보면, 보안투자를 불필요한 비용이나 부차적인 업무로 여기는 안이한 자세가 있지 않은지 냉정하게 돌아봐야 할 시점”이라고 지적했다.
이에 따라 금융위는 금융회사 CEO 책임 하에 전 전산시스템과 정보체계 전반을 긴급 점검하도록 하고, 금감원과 금융보안원을 통해 면밀히 지도·감독해 나가기로 했다.
또한 금융회사가 상시적으로 보안관리에 신경을 쓸 수 있도록 최고정보보안책임자(CISO)의 권한을 강화하고, 소비자 공시를 강화하는 등 다양한 대책도 마련할 예정이다.
정부는 “이번 사태를 계기로 임시방편적인 사고 대응이 아닌, 보안 체계 전반의 근본적 개선에 나서겠다”고 다짐했다.
